• Registrarse
  • Iniciar sesión


  • Resultados 1 al 5 de 5

    Ransomware PokemonGo instala puerta trasera y se extiende a otras unidades

    Ransomware PokemonGo instala puerta trasera y se extiende a otras unidades Con la popularidad de PokemonGo, era inevitable que un desarrollador de software malicioso creara un ransomware que se haga pasar por él. Este es ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Ransomware PokemonGo instala puerta trasera y se extiende a otras unidades

      Ransomware PokemonGo instala puerta trasera y se extiende a otras unidades


      Con la popularidad de PokemonGo, era inevitable que un desarrollador de software malicioso creara un ransomware que se haga pasar por él. Este es el caso de un nuevo ransomware descubierto por Michael Gillespie que se hace pasar por la aplicación PokemonGo.


      A primera vista, la infección ransomware PokemonGo se parece a cualquier otra infección genérica ransomware. Explorará el sistema de la víctima para ubicar los archivos que tengan las siguientes extensiones:
      .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png
      Cuando cifra un archivo utilizará el cifrado AES y añadirá la extensión .locked al archivo encriptado. Luego visualizará una nota de rescate que le dirá a la víctima ponerse en contacto con [email protected] para obtener instrucciones de pago.

      Un vistazo más de cerca, es evidente que este desarrollador usado tiempo extra para incluir características que no se encuentran en otros, pero si los hay, en otras variantes ransomware. Estas características incluyen la adición de una cuenta de usuario de Windows con puerta trasera, extendiéndose el ejecutable a otras unidades, y la creación de recursos compartidos en red. También parece que el desarrollador aún está trabajando en el ransomware ya que el código fuente contiene muchos indicios de que esta es una versión en desarrollo.

      Las nuevas características que se encuentran en el ransomware PokemonGo

      La mayoría de las infecciones ransomware cifran los datos, se borran a sí mismo, y después muestran una nota de rescate. Los desarrolladores de malware están allí para hacer una cosa; cifrar sus archivos para que se pague por el rescate. Con esto dicho, la mayor parte de los ransomware normalmente no quieren dejar ningún rastro detrás de las notas de rescate. El ransomware PokemonGo actúa un poco diferente, ya que crea una cuenta de usuario con puerta trasera en Windows para que el desarrollador pueda acceder a la computadora de la víctima en una fecha posterior.

      Una vez instalado, el ransomware PokemonGo creará una cuenta de usuario llamada Hack3r y la agregará al grupo de Administradores.


      A continuación, esconderá esta cuenta para que no pueda ser visto en la pantalla de inicio de sesión de Windows mediante la configuración de la siguiente clave del registro de Windows:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList "Hack3r" = 0
      Otra característica es que contiene una función que va a crear un recurso compartido de red en el ordenador de la víctima. Aún no se sabe para qué será utilizado ya que la mayoría de las acciones podrían ser bloqueados por el router o por el firewall de la víctima. Esta función actualmente no está siendo utilizado por el programa.


      Por último, pero no menos importante, el ransomware intentará propagarse por sí mismo mediante la copia del ejecutable del ransomware a todas las unidades extraíbles. A continuación, creará un archivo Autorun.inf de modo que el ransomware se ejecute cada vez que alguien introduce esa unidad extraíble en un ordenador. El contenido de este archivo Autorun.inf es:

      [AutoRun] OPEN=PokemonGo.exe ICON=PokemonGo.exe
      También copia el ejecutable a la raíz de cualquier otro disco fijo, la unidad C: y establecerá una entrada con ejecución automática llamada PokemonGo para iniciarlo cuando un usuario inicie sesión en Windows.

      El ransomware PokemonGo está todavía en desarrollo

      Hay numerosos indicios de que este ransomware está todavía en desarrollo. En primer lugar, el ransomware una clave AES estática 123 vivalalgerie. Se supone que cuando este ransomware esté completo, se generará una clave aleatoria y lo subirá al servidor de comando y control.

      Otro indicio de que todavía está en desarrollo es que el servidor C2 codificado utiliza una dirección IP que se asigna sólo para uso privado. Eso significa que no hay manera de conectarse a la dirección IP a través de Internet.

      private string targetURL = "http://10.25.0.169/PokemonGo/write.php?info=";
      Esto también va a cambiar cuando el ransomware sea finalmente liberado.

      Por último, CreateShare está en el programa, pero en realidad no está siendo utilizado en este momento.

      El ransomware PokemonGo tiene como Objetivos víctimas árabes

      Este ransomware se dirige a víctimas árabes basándonos en las notas de rescate y en el protector de pantalla creados por el programa. Cuando el ransomware ha terminado la encriptación de los archivos en el equipo va a crear una nota de rescate en el escritorio de Windows llamada هام جدا. Txt. Esto se traduce en muy important.txt.

      El contenido de esta nota de rescate es:

      (: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي [email protected] وشكرا على كرمكم مسبقا
      La traducción en español es:

      ( : Tus archivos han sido encriptados , para decodicarlos Falaksa Mobilis siga la siguiente dirección electrónica [email protected] gracias anticipadamente por su generosidad.
      Por último, cuando se instala el ransomware se va a extraer un recurso incrustado en el ejecutable principal del ransomware y guardarlo en la carpeta de inicio de la víctima. Este recurso es en realidad otro ejecutable que está configurado para iniciarse automáticamente cuando la víctima se registre en Windows. Una vez iniciado, se mostrará una pantalla que muestra Pikachu y otra nota de rescate en árabe.

      Un recurso interesante incrustado en el ejecutable de pantalla es una imagen (que se muestra a continuación) con el nombre de Sin Título. Esta frase es en francés, en lugar de árabe, y significa sin título. ¿Podría esto ser una pista sobre el origen de los desarrolladores?


      Archivos asociados con el ransomware PokemonGo:

      %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[random].exe PokemonGo.exe
      Las entradas de registro asociadas con el ransomware PokemonGo:

      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PokemonGo"
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      334

      Re: Ransomware PokemonGo instala puerta trasera y se extiende a otras unidades

      Gracias por la noticia JoseAsuncion !

      Saludos!

    3. #3
      Usuario Habitual Avatar de aprenderás
      Registrado
      sep 2014
      Ubicación
      argentina
      Mensajes
      2.255

      Re: Ransomware PokemonGo instala puerta trasera y se extiende a otras unidades

      Este desarrollador está jugando con fuego.

      Hablando un poco en serio, por ahora, el ransom (o mejor dicho el ejecutable) se está distribuyendo con el nombre de PokemonGo.exe y posee como icono un Pikachu. Este videojuego no existe para windows.
      En http ://www.....redeszone....net han dicho que:
      Pero los expertos han sido claros y confirman que se trata de una versión de prueba, ya que en primer lugar siempre se hace uso de la misma clave de cifrado, por lo que en principio recuperar los archivos no resulta muy complicado. Además de esto hay que decir que la información recopilada se envía a un servidor con dirección IP 10.25.0.169, algo que indica que se tratan de meras pruebas antes de una versión final.
      Pero bueno, muchachos, si alguna web les ofrece pockemongo para windows, ya saben que no es posible. No existe. ¿Sentido común, no podríamos salir de caza con el pc al hombro, no????

      Lo que no me ha quedado claro, es si una vez descargado el archivo, este se autoejecuta... o si necesita de un doble click para arrancar.

    4. #4
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Ransomware PokemonGo instala puerta trasera y se extiende a otras unidades

      Cita Originalmente publicado por aprenderás Ver Mensaje
      Lo que no me ha quedado claro, es si una vez descargado el archivo, este se autoejecuta... o si necesita de un doble click para arrancar.
      Al igual que el 98% del ransomware que hay por ahí, este necesita que alguien le de doble clic al archivo para ejecutarse... el tema es que una vez que se prendió su interruptor y comienza a encriptar los archivos de esa máquina, al igual que la gran mayoría también, puede distribuirse de forma automática por toda la red y ahí si al ya estar en ejecución va a poder seguir cifrando todo sin necesidad de que nadie más toque nada.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Ransomware PokemonGo instala puerta trasera y se extiende a otras unidades

      Ayer compartía en mi cuenta de Twitter @MarceloRivero, una nueva variante del ransomware "DetoxCrypto" el cual en este caso también estaba adoptando la moda de PokemonGo con una nueva imagen de Pichachu y su icono con nombre de pokemongo.exe


      Y seguramente en el pasar de los dias nos encontremos con mas ransomware utilizando la imagen de Pokemon.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.